Molte persone non si sono mai posti il problema.. Altri invece si limitano al “se funziona, perché cambiare?“. Altri ancora invece sono informati, ma non in maniera approfondita. E voi, vi siete mai chiesti se la vostra connessione è sfruttata da qualche “parassita” dell’etere? Quali sono i rischi e i pericoli di aver una connessione wireless non protetta oppure protetta male? E come è possibile che qualcuno vi “rubi” la passphrase? Le risposte a tutte queste domande, in questo articolo…

I rischi

Ecco una breve lista di rischi in cui potete incorrere (per il resto basta solo un po di fantasia):

Problemi giuridici: ponete il caso in cui qualcuno utilizzi la vostra connessione per commettere uno di questi reati:

  • usa carte di credito “rubate” per comprare online;
  • scarica materiale protetto da copyright  con alcuni animali da soma elettronici (Emule);
  • scarica materiale pedo pornografico;

voi potreste essere indicati come i diretti responsabili! La legge italiana  parla chiaro: voi avete la responsabilità della vostra connessione e, in molti casi, sta a voi dimostrare di non essere stati voi a fare quelle determinate operazioni, cosa che avvolte risulta essere tutt’altro poco banale! Se la fortuna è dalla vostra parte, il rischio minore è di andare incontro a delle sanzioni pecuniarie.

Problemi di “banda”: la gente che si collega alla vostra rete, genera traffico. Finché costui naviga sul Web, difficilmente vi accorgerete della differenza… ma se invece utilizza la vostra connessione per collegarsi a network p2p, allora il rallentamento della vostra linea ADSL sarà più cospicuo (e fastidioso).

Problemi di privacy: se la vostra rete non è protetta, il rischio che qualcuno navighi a vostre spese dovrebbe essere l’ultimo dei vostri pensieri. Potrebbe capitare che un malintenzionato intercetti i vostri dati personali (in gergo sniffing): password delle vostre email, discussioni su Messenger, siti che visitate e, se abbastanza bravo, anche le password protette da connessioni SSL (quelle https). Vi sembra il caso di rischiare?

Le contromisure

Ecco allora come cercare di evitare che tutto ciò avvenga:

Wpa/Wpa2: come protocollo di sicurezza per proteggere la vostra rete wireless usate Wpa (o Wpa2) TKIP o, se la vostra schede di rete lo supporta, anche WPA Aes. Evitate di lasciare aperta la vostra rete o di usare il protocollo di sicurezza WEP, noto per la sua fragilità. L’attivazione di questo protocollo cambia da router a router, quindi vi consiglio di fare riferimento al manuale per sapere come attivarlo.
Spiegazione tecnica: non serve un genio per capire che una rete aperta è accessibile a tutti coloro che stanno abbastanza vicini da potersi collegare (100 metri  di solito, ma anche 500 in particolari condizioni e/o con speciali attrezzature). Anche il WEP è inadeguato: infatti basta catturare un certa quantità di traffico dati perché un malintenzionato possa decryptare la passphrase che avete scelto: in alcuni casi bastano anche solo 20 minuti.

SSID: conviene sempre scegliere un SSID (termine tecnico che indica il nome con il quale verrà vista la vostra rete wireless dagli utilizzatori) che non sia quello di fabbrica o un nome troppo comune.
Spiegazione tecnica: il WPA funziona in maniere tale che la vostra passphrase sia combinata con il vostro SSID. Quindi se scegliamo lamiapassword come passphrase e lamiarete come SSID, la password generata dall’algoritmo del WPA (passatemi i termini poco tecnici) sarà diversa da quella generata dalla stessa passphrase e lamiarete2 come SSID. Questo è risaputo tra gli “addetti ai lavori”, e molti hanno creato delle Rainbow Table contenenti tutte le password (da 1 a 10 caratteri) per i più comuni SSID: in queste condizioni anche la “forte” protezione WPA diventa un bersaglio facile. A questo indirizzo la lista degli SSID comuni per cui è possibile trovare le tavole pre-computate (SSID da evitare!).

Come scegliere una passphrase robusta. Basta scegliere una passphrase con queste caratteristiche:

  • che sia maggiore di 12 caratteri;
  • che non sia una parola (o una combinazione di parole) troppo semplice (tipo lamiamamma).

Spiegazione tecnica: Ecco i motivi di tale scelta:

  • Le tavole pre-computate degli SSID più comuni occupano tanto spazio, e non posso quindi contenere tutte le password (di ogni lunghezza). Di solito sono presenti tutte quelle che vanno da 1 a 10 caratteri.
  • Se non esistono le Rainbow Table per il vostro SSID, il malintenzionato proverà un attacco basato sui dizionari: cercherà di vedere se avete scelto come passphrase una parola del dizionario o qualcosa di facilmente indovinabile. Usare parole non di uso comune oppure lettere, simboli e numeri a caso renderà superfluo questo tipo d’attacco…
  • ..e l’ultimo appiglio che rimarrà per l’attaccante, sarà quello del Brute-Force. Ovvero cercherà di calcolare ogni possibile combinazione di caratteri per ogni diversa lunghezza (prima le password 1 un carattere, poi quelle composte da 2, 3 e così via). Il problema (per l’attaccante) è che questo metodo richiede parecchia potenza di calcolo ed è praticamente (ma non teoricamente) impossibile decriptare la vostra passphrase se è al di sopra dei 12 caratteri: più è lunga, più è sicura. Se siete proprio paranoici, potete scegliere una passphrase di 64 caratteri formata da caratteri completamente casuali. 🙂 Ma sopra i 12 caratteri potete stare alquanto tranquilli! (almeno se colui che vi ha preso di mira non abbia accesso a questo tipo di computer).

Nascondere l’SSID…: nascondere il vostro SSID è un gioco che non vale la candela. E’ noto infatti che nasconderlo può provocare più problemi di connessione che reali benefici contro un attacco.
Spiegazione tecnica: l’SSID nascosto è facilmente rilevabile. Difatti basta che qualcuno (autorizzato) si associ al vostro Access Point e il “malintenzionato” rileva il nome della vostra rete. E ci sono metodi per far si che quel qualcuno si scolleghi e si ricolleghi. Quindi, se qualcuno cerca di accedere alla vostra rete, trovare l’SSID nascosto sarà un ostacolo irrisorio, che può più provocare più problemi tecnici a voi che a chi ha preso di mira la vostra connessione.

Impostare il Mac Filter: ogni scheda di rete ha un Mac Address che la contraddistingue. Impostare il Mac Filter, aggiungendo solo quelli delle schede di rete a cui volete dare accesso alla rete, vuol dire (in teoria) evitare che gente che conoscono la passphrase, si possano collegare utilizzando altri PC o altre schede di rete diverse dalla propria.  Il filtro non risulta utile se la passphrase la conoscete solo voi (leggere il paragrafo successivo per tenere bene in mente cosa vuol dire “la passphrase la conoscete solo voi”).
Spiegazione tecnica: questa tecnica serve per tentare di tenere lontano coloro che conosco la passphrase (vedi fratelli/amici stretti) e che potrebbero (involontariamente o meno) darla ad altre persone. E’ quasi inutile invece per ostacolare un attaccante esperto: infatti, se questo è arrivato a conoscere la passphrase, sarà per lui uno scherzo cambiare il Mac Address della sua scheda in modo da farlo coincidere con il vostro, eludendo così il filtro. Torna utile per tenere a bada i “furbetti dell’informatica”…

Attenzione ai furbetti: la sicurezza informatica è una chimera. Tutti gli attacchi citati fino adesso sono attuabili da remoto, cioè senza che vi sia un accesso fisico all’Access Point o al vostro PC… Ma cosa succede se qualcuno ha accesso al vostro PC? In questo caso, specie per sistemi operativi Windows, ci sono programmi che riescono a leggere la passphrase (WPA o WEP) dal registro di sistema, mostrandola direttamente a schermo o salvandola su un file. E se credete che sia facile accorgervene, ricredetevi: ci sono in giro programmi che fanno il tutto senza mostrare nemmeno una finestra, e si avviano semplicemente inserendo una chiave USB nel vostro pc… In casi come questi neanche una passphrase di 64 caratteri può essere utile.

E per concludere ultimi due consigli:

  1. Cambiate spesso la passphrase WPA.
  2. Proteggete l’accesso al vostro router con una password cambiando quella di default.
Annunci